YDT 2672-2013 电信运营企业信息安全管理框架

审核岗位职资、以及跟踪检查等内容。组织结构建立是指设计与维护一个安全的环境，用于在组织内管 理信息安全；制定岗位职责是指根据具体岗位明确其相关人员安全职责；审核岗位职责是指对制定的岗 位职贵要求是否符合实际要求；跟踪检查是指持续地监督岗位安全要求得到满足的过程。 随之电信运营企业业务的发展，需要第三方以各种方式提供服务。电信运营企业应采取措施保证组 织的信息处理设施和信息资产的安全不应由于引入外部方服务而降低。第三方管理包括工作范围确定、 第三方资质资格要求确定以及审核检查等内容。工作内容确定是指根据活动涉及系统的重要程度、信息 的敏感程度等，确定活动是否允许第三方人员介入；确定资质资格要求是指允许进入电信资质的第三方 资质条件制定的过程；审核检查是指对第三方人员资质以及第三方人员在电信运营企业内部活动的审核、 检查、管理的过程。

7.2组织人员管理的主要活动

组织内部人员管理由组织结构创建、制定岗位职责、审核岗位职责以及跟踪检查等几个活动组成。 各阶段蓄要落实信息安全企业中的内部组织与外部各方，人力资源管理中的任用之前、任用中以及任用 的终止或变化，第三方服务交付管理中的服务交付、第三方服务的监视和评审第三方服务的变更管理， 用户访间管理以及用户职责，外包软件开发等中的控制目标与内容，具体活动描述如下： 1）组织结构创建：是指通过指派和传达信息安全职责以及概述部门间安全协作和合作的框架建立， 来为企业实现信息安全目标提供组织保障。此过程应为管理层建立相关流程，以便于批准信息安全策略、 安全角色指派以及在整个企业内协调安全的实施。此过程是企业进行安全工作的基础。 2）制定岗位职责：依据企业各岗位涉及的资产信息，为各岗位设计具体的职责要求。职责要求应包 括岗位相关人员的背景要求（如教育背景、申请表是否属实等）、保密性协议要求以及信息安全确认要求 等。 3）审核岗位职责：对新建或修订的岗位职责进行的审阅、批准与发布；未通过审批的岗位职责返回 相关编写部门进行重新修订。准备进行发布，并将变更信息通知相关部门或责任人。 4）跟踪检查：对已发布的安全岗位职责进行持续的跟踪，发现其是否满足安全需求，如果岗位职责 要求未满足安全需求，对其进行下一次的岗位职责修订工作。 第三方人员管理是由活动范围确定、资质资格制定、审核检查等几个活动造成。具体活动描述如下： 1）工作范围确定：是指根据活动涉及系统的重要程度、信息敏感级别来确定该活动是否允许第三方 人员参与的过程。范围确定要明确活动中哪些子活动允许第三方人员参与，哪些子活动必须由电信运营 企业内部人员完成。 2）资质资格制定：是指在明确第三方参与范围的基础上，根据第三方活动涉及资产的敏感程度等方 面来确定第三方组织以及人员应具备资格的过程。制定的资格说明应明确第三方资质、保密要求、人员 安全意识、安全义务以及责任等要求。 3）确定并部署对第三方的防护措施，网络上的，活动上等第三方人员的网络要和公司内部的其他网 络隔离。第三方人员的活动和公司其他活动的隔离，避免不必要的信息泄露。 4）审核检查：是指根据资质资格要求勘探标准，对第三方任用前进行安全要求检查的过程，并对审核通过的 第三方组织与人员签署保密等协议以及并对第三方人员提供服务的过程进行监控和审计。

8.1资产管理的主要内容

资产管理主要是指对企业资产进行分类和控制，其目标是维持对企业信息资产的适当保护。 资产管理包括资产清单识别、资产分类、资产保护责任落实、资产保护检查等内容。资产消单识别是 指识别出一份全面的资产清单，并确定各资产的重要程度；资产分类是指根据信息安全属性来划分资产 等级：资产保护责任落实是指确定资产管理者及其资产使用者责任；资产保护检查是指持续地对资产信 息以及资产保护措施进行检查的过程。

8.2资产管理的主要活动

9.1系统获取与开发管理的主要内容

信息系统构成了电信业务的基础，因此，信息系统的设计和实现对电信运营企业信息安全而言非常 重要。电信运营企业获取信息系统的过程可分解成系统规划、开发与建设三个环节。为了保证信息系统 的安全，需要在这个三个环节中实施必要的安全控制措施。 在规划阶段，安全控制活动的重点是要明确信息系统需要满足的安全需求，分析安全需求实现的可 能性。在开发阶段，除了具体实现规划阶段提出的安全需求外，还需要保证开发过程、文档，源代码的 安全，并采取措施防止在代码中存在安全漏洞和后门。在建设阶段，需要控制建设中的信息系统对其他 已承担电信业务的系统的影响，并在上线验收时，确保所有安全需求都得到满足。

9.2系统获取与开发管理的主要活动

系统获取与开发管理主要由系统规划、系统开发以及建设等几个阶段组成。各阶段需要落实信息系 统的安全要求分析和说明，输出数据验证，系统规划与验收的容量管理与系统验收，开发与支持过程中 的安全中的变更控制程序、操作系统变更后应用的技术评审、软件包变更的限制与信息泄露，密码控制 中的使用密码控制的措施、密钥管理等的控制目标与内容，具体活动描述如下； 1）系统规划主要包括以下环节： 8）确定系统安全目标：根据电信运营企业制定的安全策略、风险评估结果以及系统承载的业务特点 制定系统的安全目标。 b）确定系统安全需求：以系统的安全目标为指导，依据业务决定系统安全需求，包括基于行业法规 和企业策略的安全需求以及其他业务特定的安全需求。 c）编写系统安全规范：根据系统的安全需求和风险评估报告，编写系统安全规范方案。 d）审核系统安全规范：对系统安全规划方案进行审核。将审核通过的安全规划方案反馈给相关人员， 并转到系统开发流程与安全工程建设流程，对于未通过审核的安全规划方案将重新进入编写阶段。 2）系统开发主要包括以下环节： a）编写安全开发规范：电信运营企业需要建立指导其信息系统开发的安全规范。电信运营企业的信 息系统开发存在内部人员自主开发、外包开发以及直接购买等多种方式。规范应针对各种开发方式明确 不同程度的具体要求，以保证正确实现系统安全规范的控制措施，防范在开发过程中留下有意或无意的 弱点。安全开发规范要通过电信运营企业安全管理层的审批。 b）实施安全开发规范：根据信息系统的开发方式，安全开发规范的具体要求应明确到企业内部的开 发制度或企业和第三方签订的开发合同之中，以保证要求的落实。在实施开发过程中，根据开发规范中 的各控制项对系统开发过程的各环节进行测试，并验证达到要求的安全目标。 c）安全审核：在完成开发活动后，电信运营企业应指定独立于开发人员的安全审计人员对开发的系 统进行安全审核，以确保系统达到系统安全规范中的要求，并检查确认系统开发过程中开发活动的合规。 3）系统建设主要包括以下环节： a）编写系统安全建设方案：电信运营企业需要建立指导其信息系统建设的安全规范。安全规范指导电 信运营企业系统制定具体的安全建设方案。系统安全建设方案还需要依据系统安全规划、系统建设合同、系 统敏感程度、系统接入信息以及工程实施过程中注意事项等，并要通过电信运营企业安全管理层的审批。 b）实施工程：依据系统实施期间安全管理办法，工程建设部门按照安全技术实施方案完成项目的安 全功能落实建设。在工程实施过程中，按照工程安全管理办法实施工程，确保工程达到系统安全建设方 案的要求。 c）验收工程：在施工结束后根据合同规定的安全技术规范书和功能验收单进行逐项验证审核，判断 验收是否通过。验收未通过，重新进行工程施工，直至符合验收标准。

10.1运维管理的主要内容

运维管理涉及系统的日常运行过程中的各项工作，主要包括安全预警、安全变更、安全配置等活动。 安全预警是指接收相关预警信息，并发布及处理的过程；安全变更是指对电信运营企业信息系统涉及安 全相关的变更的管理，包括变更实施方案、测试验证及方案执行反馈等的统一管理；安全配置是指对信 息系统涉及安全的配置的管理，包括维护信息系统配置要求，掌握实际配置情况等活动，

水利水电标准规范范本10.2运维管理的主要活动

运维管理主要由预警管理、安全配置管理、补丁管理、安全变更管理、网络互联管理、远程接入管 理、防病毒管理等内容。各项的目标与活动描述如下： 1）预警管理需要落信息安全事件与弱点的控制目标与内容，其管理活动主要包括以下环节： a）收集安全预警信息：是指从企业内部安全事故处理结果、软硬件产品供应商安全通告或者其他安 全企业获取预警信息，并对安全预警信息作初步分析： b）分析预警信息：是指接收预警信息后，结合网络安全技术进行安全影响分析，判断是否需要调整 相应的安全策略，如不需要调整安全策略，直接发布安全预警报告： c）制定安全改进建议：对于需要调整安全策略的安全预警，根据影响分析报告的结论，结合网络安 全规范和策略制定安全改进建议和要求； d）审核发布安全改进建议：审核安全改进建议的适宜性、充分性和合理性。对于需要进行安全配置 变更的改进建议，转入安全配置管理过程；对于需要进行安装补丁的改进建议，转入补丁管理流程： e）跟踪改进：跟踪安全改进建议的执行进度并反馈给相关方。 2）安全配置管理需要落实资产管理的控制目标与内容，其管理活动主要包括以下环节： a）收集安全配置项：根据预警管理中安全改进建议等相关来源，识别信息系统需要符合安全配置项， 建立安全配置目录； b）制定系统安全配置基准：参考相关规范和最佳实践，形成电信运营企业中信息系统和设备需要符 合的安全配置项组合。电信运营企业应根据信息系统的重要程度建立分系统、分设备、分厂家的不同层 次的安全配置基准。 c）监控安全配置变更：掌握信息系统和设备的安全配置情况，及时发现安全配置不符合项。如果发 现安全配置基准的配置违规，应根据安全基线调整配置。 d）调整安全配置：根据安全基线调整安全配置信息，具体调整转入安全变更管理流程。 e）评审跟踪安全配置：对已实施的安全配置进行持续评审与跟踪，检查是否对系统或网络的安全运 行造成影响。 3）补丁管理需要落实技术脆弱性管理的控制目标与内容，其管理活动主要包括以下环节： a）获取补丁请求：是指实时跟踪收集系统的安全补丁信息以及预警管理中补丁安全建议信息，生成 系统补丁需求； b）制定补丁加载计划：结合现网情况并根据相关规定，制定详细的补丁加载计划，制定加载计划中 应包括补丁的优先级、补丁涉及系统等信息，且加载计划应确保其变化不会影响其他安全控制措施以及 补丁加载失败后的回退方案等。 c）审批补丁加载计划：根据计划和对现有网络和系统的影响评估对"是否同意变更"进行审批。 d）实施安全变更方案：对相应系统加载安全补丁，并确定补丁加载是否失败，是否需要修订补丁加 载计划，具体加载活动转入安全变更流程。

e）评审跟踪补丁加载结果：对已实施的补丁加载进行跟踪，检查是否有效以及是否对系统或网络的 安全运行造成影响。 4）安全变更管理需要落实资产负责的控制目标与内容，变更控制程序，其管理活动主要包括以下环 节： a）收集变更请求：收集电信运营企业中配置管理与补丁管理流程等活动确定的变更需求，形成变更 请求； b）制定安全变更技术方案：结合现网情况，参考相关技术规范，制定网络变更需要的安全技术方案 （含技术方案、倒回措施、影响范围等）； c）测试安全变更方案：在制定完成安全变更技术方案后，对变更技术方案进行实验室测试和现网测 试。其中实验室测试是指在模拟环境中对技术方案测试其可行性：现网测试是指在电信运营企业小范围 内对通过实验室测试的技术方案进行试点，进而决定方案是否可行。 d）实施安全变更方案：安全变更技术方案或安全变更申请实施安全配置变更， e）评审跟踪安全变更：对已实施的安全配置变更进行持续评审与跟踪，检查是否对系统或网络的安 全运行造成影响。 5）网络互联管理需要对网络访问控制使用网络服务的策略、外部连接的用户鉴别、远程诊断和配置 端口的保护、网络隔离等的控制目标与内容，其管理活动主要包括以下环节： a）制定网络互连原则：是指电信运营企业为了指导内部运营网络、支撑网络、其他运营商网络之 间以及各网络与应用系统的访问需求，根据电信运营企业的安全策略，确定的网络互连原则，通过互连 方案来指导互连方案等的制定。 b）编写网络互联方案：是指依据分析业务部门/第三方网络拥有者提出的网络互联或互联撤销需求， 编写需要网络互联/互联撤销的网络连接实施方案。并依据相关规范对申请进行审批。将审核结果反馈给 业务部门或第三方网络拥有者。 c）审核网络互联方案：对网络互联/互联撤销方案进行审核。未通过审核的网络互联/互联撤销方案 应进行重新编写。 d）实施网络互联：对通过审核的网络互联/互联撤销方案，按照实施计划进行网络互联或互联撤销。 e）评审跟踪实施结果：评审网络互联的实施结果是否符合网络互联实施方案内容，更新网络互联 信息。 6）远程接入管理需要落实移动计算和远程工作的控制目标与内容，其管理活动主要包括以下环节： a）收集与审核运程接入申请：指收集第三方、移动及远程办公人员等的远程接入申请，并根据网络 安全政策和标准，以及远程接入管理制度，结合实际情况对远程接入申请进行初步审核： b）实施远程接入：根据远程接入申请审批结果，进行相应的保密协议签署与设置工作； c）监控远程接入状态：是指定期检查远程接入记录，判断是否存在异常接入等情况，对检查中发现 的问题，应督促相关人员采取必要措施予以纠正。 7）防病毒管理需要落实对防范恶意和移动代码的控制目标与内容，其管理活动主要包括以下环节： a）获取病毒库升级需求：是指实时跟踪最新的病毒特征库，进行分析形成可信的病毒升级码： b）推送病毒特征库：将病毒库通过防病毒服务器统一推送到终端和服务器。 C）定期执行病毒任务：根据相关安全策略要求，定期对终端和服务器执行杀毒任务。

d）捷交病每报告：报据键 果，定期向相关管理人员提交病毒报告。 e）跟踪病毒情报：实时跟踪最新的病毒特征库

11.1事件管理的主要内容

电信运营企业即使采取了防护措施，仍可能存在残留的弱点，使得信息安全防护变得无效，从而导 致信息安全事件发生，并对企业的业务运行直接或间接产生负面影响。此外，以前未被认识到的威胁也 可能会发生。因此对于电信运营企业来说，采用一种结构严谨、计划周全的方法来发现、报告和评估信 息安全事件变得十分必要。 电信运营企业在事件管理中，不仅要处理已发生的安全事件而且要防止这些事件再次发生。其活动 主要包括准备与规划、使用、评审与改进等几个方面。准备与规划是指对为了有效地响应安全事件而在 事件发生前制定的相关处理方案；使用是指在检查到信息安全事件时使用相关处理方案；评审是指在信 息安全事件已经解决或结束后，进行进一步法律取证分析和评审，确定哪些方面需要改进；改进是指根 据评审阶段提出的建议，改进信息安全事件管理方案等内容。 电信运营企业中事件管理工作通常由ISIRT（安全事件响应组）来负责，安全事件响应组一般提供 被动响应服务、主动响应服务、安全质量管理等服务。被动响应服务主要是指：告警、事故管理、弱点 管理与人工处理；主动响应服务包括：公告、技术观察、安全审核与评估、配置与维护安全工具、开发 安全工具、入侵检测服务于安全相关的信息传播；安全质量管理服务包括：风险分析、业务连续性和灾 难恢复计划、安全咨询、意识建立、教育与产品评估等。

抗震标准规范范本11.2事件管理的主要活动

事件管理的主要由准备与规划事件响应方案、使用事件响应方案、评审相关响应以及改进处理方案 等几个活动组成，其主要为了落实对信息安全事故管理中的报告信息安全事件和弱点与信息安全事故和 改进的管理的控制目标与内容。各过程描述如下： 1）准备与规划：是指电信运营企业制定信息安全事件管理方案并使其全部成为文件，用以支持信息 安全事件管理策略。用于发现、报告、评估和响应信息安全事件的表单、规程和支持工具，以及事件严 重性衡量尺度的细节，均应包括在方案文件中（在有些组织中，方案即为信息安全事件响应计划）。通过 简报或其他机制使所有的企业成员了解信息安全事件处理理方案、方案能带来哪些益处以及如何报告信 息安全事件。应该对管理信息安全事件管理方案的负责人员、判断信息安全事件是否为事件的决策者， 以及参与事件调查的人员进行适当培训。 确定一个适当的信息安全事件管理的组织结构，即ISIRT给那些可调用的、能够对所有已知的信息 安全事件类型作出充分响应的人员指派明确的角色和责任。 2）使用：是电信运营企业使用信息安全事件管理方案的过程。包括收集与信息安全事件相关的信息， 通过评估这些信息确定哪些事件应归类为信息安全事件：接下来对确定的安全事件作出实时或接近实时 的响应，并进行法律取证分析以及将信息安全事件及任何相关的细节传达给内部和外部人员和/或组织。 3）评审：是指安全事件已经解决或结束后，进行的评审活动，包括按要求进行进一步法律取证分析； 总结信息安全事件中的经验教训：以及作为从一次或多次信息安全事件中吸取经验教训的结果，确定信 息安全防护措施实施方面的改进：作为从信息安全事件管理方案质量保证评审（例如根据对过程、规程、

报告单和/或组织结构所作的评审）中吸取经验教训的结果，确定对整个信息安全事件管理方案的改进。 4）改进；信息安全事件管理过程虽然可以反复实施，但随着时间的推移，有许多信息安全要素需要 经常改进。这些需要改进的地方应该根据对信息安全事件数据、事件响应以及一段时间以来的发展趋势 所作评审的基础上提出。包括修订企业现有的信息安全风险分析和管理评审结果：改进信息安全事件管 理方案及其相关文档等。